Abo
  • Services:

Windows, Apple und fast alle Access Points betroffen

Der Entdecker der Sicherheitslücken schreibt darüber hinaus, dass sowohl die Implementierungen von Windows als auch von Apples Betriebssystemen angreifbar sind. Noch gibt es von Microsoft und Apple  keine weitergehenden Informationen hierzu, unterstützte Windows-Versionen sollen jedoch am vergangenen Patchday bereits ein Update bekommen haben. Auch Apple hat entsprechende Patches verteilt, bislang allerdings nur für die Beta-Versionen der Betriebssysteme.

Stellenmarkt
  1. Deutsche Leasing AG, Bad Homburg vor der Höhe
  2. signTEK GmbH & Co. KG, Mannheim

Ebenfalls betroffen war auch das auf Sicherheit fokussierte OpenBSD. Der OpenBSD-Gründer Theo de Raadt hat sich aber aus prinzipiellen Erwägungen heraus dazu entschlossen, das Embargo nicht einzuhalten und die Patches stattdessen direkt einzupflegen. Dies ist als sogenanntes Silent-Update geschehen, also ohne explizite Ankündigung.

Access Points bekommen eventuell Updates

Zusätzlich zu dem für Linux-Clients genutzten wpa_supplicant ist auch die unter Linux für Access Points genutzte hostapd unter bestimmten Umständen angreifbar. Betroffen davon seien "praktisch alle Versionen, die eine vollständige FT-Implementierung enthalten". Als Workaround könnten Admins hier zwar die FT-Unterstützung zu Laufzeit abschalten, Clients können dann jedoch nicht mehr schnell zwischen mehreren Access-Points wechseln. Darüber hinaus sind außerdem sämtliche Versionen von hostapd für einen weiteren Angriff durch Clients über den sogenannten Authenticator verwundbar.

Die Patches für hostapd werden ebenfalls über die Linux-Distributoren verteilt. Darüber hinaus stellen bereits erste Hersteller von Access Points Updates für ihre Systeme bereit. Dazu gehört etwa Aruba Networks, Aktualisierungen von Ubiquiti sollten ebenso in Kürze zur Verfügung stehen.

Der Fritzbox-Hersteller AVM hat ebenfalls Updates versprochen - "Falls notwendig" - was der Fall sein dürfte. Auch die Community-Hacker von Openwrt haben die Patches bereits in ihre Distribution aufgenommen, sodass hier Updates auch schnell verfügbar sein sollten.

Verwundbar sind darüber hinaus laut den Sicherheitsforschern außerdem die WLAN-Implementierungen von Mediatek und Linksys. Diese Liste lässt sich wahrscheinlich auch auf Broadcom, TP-Link und viele weitere Hersteller erweitern. Ob und wann hier Aktualisierungen bereitstehen, hängt wohl sehr von dem gewählten Hersteller sowie der Preisklasse der eingesetzten Geräte ab. Das US-Cert hat eine vollständige Liste der Hersteller veröffentlicht, die über die Lücken informiert worden sind.

Die Angriffe zeigen, dass WPA2 beschädigt ist, aber nicht grundlegend gebrochen. Eine sichere Implementierung des derzeitigen Standards ist also möglich. Auch können gegen die Sicherheitslücke gepatchte Geräte weiterhin mit ungepatchten Geräten kommunizieren. WPA3, so Vanhoef, brauche es also derzeit nicht.

Für die Sicherheitslücken sind folgende CVE-Nummer vergeben worden: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088.

Nachtrag vom 17. Oktober 2017, 10:16 Uhr

Die folgenden Unternehmen haben sich zu Krack geäußert, die Liste wird laufend aktualisiert:

 Bei Android 6 ist es besonders schlimm
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Hardware-Angebote
  1. 119,90€
  2. (u. a. 32 GB 6,98€, 128 GB 23,58€)
  3. (reduzierte Überstände, Restposten & Co.)

Truster 23. Okt 2017

Keine Ahnung, ich mach's einfach. Ich bin aber auch kein Großer Spieler. Mein letztes...

Anonymer Nutzer 19. Okt 2017

Na ja, komplett fehlt der Service nicht - aber besonders lange gibt es die Firmware...

Isodome 18. Okt 2017

Zur eigenen Fritzbox ist ein VPN natürlich sicher. Aber was dann? A) du willst auf dein...

bombinho 18. Okt 2017

Ja, aber ... - wann hast Du zuletzt geschaut? - welches ist das Richtige? - der Client...

bombinho 18. Okt 2017

Die meisten Hersteller haben ihre Patches fuer Mitte November angekuendigt.


Folgen Sie uns
       


Sechs Bluetooth-Hörstöpsel im Test

Wir haben sechs neue Bluetooth-Hörstöpsel getestet. Mit dabei sind Modelle von Sennheiser, Audio Technica, Master & Dynamic sowie HMD Global. Aber auch zwei Modelle kleinerer Startups sind vertreten. Und eines davon hat uns bezüglich der Akkulaufzeit sehr überrascht. Kein anderer von uns getesteter Bluetooth-Hörstöpsel hat bisher eine vergleichbar lange Akkulaufzeit zu bieten - wir kamen auf Werte von bis zu 11,5 Stunden statt der sonst üblichen drei bis fünf Stunden.

Sechs Bluetooth-Hörstöpsel im Test Video aufrufen
Gesetzesinitiative des Bundesrates: Neuer Straftatbestand Handelsplattform-Betreiber im Darknet
Gesetzesinitiative des Bundesrates
Neuer Straftatbestand Handelsplattform-Betreiber im Darknet

Eine Gesetzesinitiative des Bundesrates soll den Betrieb von Handelsplattformen im Darknet unter Strafe stellen, wenn sie Illegales fördern. Das war auch bisher schon strafbar, das Gesetz könnte jedoch vor allem der Überwachung dienen, kritisieren Juristen.
Von Moritz Tremmel

  1. Security Onionshare 2 ermöglicht einfachen Dateiaustausch per Tor
  2. Tor-Netzwerk Britischer Kleinstprovider testet Tor-SIM-Karte
  3. Tor-Netzwerk Sicherheitslücke für Tor Browser 7 veröffentlicht

Überwachung: Wenn die Firma heimlich ihre Mitarbeiter ausspioniert
Überwachung
Wenn die Firma heimlich ihre Mitarbeiter ausspioniert

Videokameras, Wanzen, GPS-Tracker, Keylogger - es gibt viele Möglichkeiten, mit denen Firmen Mitarbeiter kontrollieren können. Nicht wenige tun das auch und werden dafür mitunter bestraft. Manchmal kommen sie aber selbst mit heimlichen Überwachungsaktionen durch. Es kommt auf die Gründe an.
Von Harald Büring

  1. Österreich Bundesheer soll mehr Daten bekommen
  2. Datenschutz Chinesische Kameraüberwachung hält Bus-Werbung für Fußgänger
  3. Überwachung Infosystem über Funkzellenabfragen in Berlin gestartet

Sailfish X im Test: Die Android-Alternative mit ein bisschen Android
Sailfish X im Test
Die Android-Alternative mit ein bisschen Android

Seit kurzem ist Sailfish OS mit Android-Unterstützung für weitere Xperia-Smartphones von Sony verfügbar. Fünf Jahre nach unserem letzten Test wird es Zeit, dass wir uns das alternative Mobile-Betriebssystem wieder einmal anschauen und testen, wie es auf einem ursprünglichen Android-Gerät läuft.
Ein Test von Tobias Költzsch

  1. Android, Debian, Sailfish OS Gemini PDA bekommt Dreifach-Boot-Option

    •  /